Danger !, un logiciel malveillant peut s'installer

Cybercriminels : un arsenal en perpétuelle évolution

Dossier : CybersécuritéMagazine N°711 Janvier 2016
Par Éric FREYSSINET (92)

Il n’y a pas ici de recette de hack­er, mais plutôt une liste des dif­férentes méth­odes d’at­taque. Des délin­quants spé­cial­isés, agis­sant vite, lais­sant peu de traces et très com­mu­ni­quants entre eux. Alors atten­tion aux trans­ac­tions ban­caires, aux secrets pro­fes­sion­nels ou au blocage de sa machine pour obtenir une rançon.

Le mode de dif­fu­sion des logi­ciels malveil­lants prend aujourd’hui plusieurs formes. La pre­mière est la prop­a­ga­tion automa­tique, par la décou­verte sur les réseaux de nou­velles machines vul­nérables. On par­le alors de vers qui se propa­gent ain­si d’une machine à une autre.

REPÈRES

Comprendre la menace est essentiel à la lutte contre la cybercriminalité. C’est essentiel bien évidemment pour ceux qui sont en première ligne, services d’investigation ou équipes œuvrant dans le domaine de la sécurité des systèmes d’information, mais c’est tout aussi important pour les victimes potentielles, ne serait-ce que pour prévenir ces menaces.
L’arsenal moderne des cybercriminels comprend un certain nombre d’outils et de plates-formes basés autour des logiciels malveillants : botnets, plates-formes d’exploits, systèmes de distribution de trafic. Un univers à explorer pour mieux l’appréhender, mieux se protéger voire participer à la lutte contre ces phénomènes.

Des logiciels malveillants qui se répandent en cascade

La sec­onde est la dif­fu­sion par pièce jointe à un cour­ri­er élec­tron­ique ou en télécharge­ment direct depuis un site Web, la vic­time cli­quant sur le lien de télécharge­ment ou la pièce jointe.

C’est notam­ment le cas sur les plates-formes mobiles où la forme la plus courante d’installation d’un logi­ciel malveil­lant est l’installation volon­taire d’une appli­ca­tion d’apparence banale depuis un mag­a­sin d’applications.

Enfin, le télécharge­ment au cours de la nav­i­ga­tion (ou dri­ve-by down­load) se déroule à l’insu de la vic­time lorsqu’elle utilise son nav­i­ga­teur Inter­net. Ce dernier mode d’infection est le plus courant aujourd’hui, car il touche un plus grand nom­bre de vic­times poten­tielles, mais il sup­pose de met­tre en œuvre une infra­struc­ture plus complexe.

Les cinq composantes de l’arsenal cybercriminel

La forme la plus courante d’installation d’un logi­ciel malveil­lant est l’installation volon­taire d’une appli­ca­tion d’apparence banale. © RAWPIXEL.COM / FOTOLIA

Pre­mier type d’arme util­isé : les bot­nets, réseaux de machines util­isant un pro­gramme malveil­lant. Une machine infec­tée par un de ces logi­ciels malveil­lants devient un bot, qui dès lors com­mu­nique avec une infra­struc­ture de com­mande et de con­trôle per­me­t­tant au maître du bot­net de pilot­er l’ensemble des bots et de recueil­lir les infor­ma­tions con­fi­den­tielles collectées.

Une telle archi­tec­ture per­met de com­bin­er un grand nom­bre de fonc­tion­nal­ités. Ain­si, les délin­quants peu­vent installer d’autres logi­ciels malveil­lants ou col­lecter des mots de passe, même si la fonc­tion pre­mière est autre, comme l’envoi de cour­ri­ers élec­tron­iques non sol­lic­ités (spam).

L’infrastructure de com­mande et de con­trôle du bot­net peut pren­dre dif­férentes formes, des archi­tec­tures cen­tral­isées (reposant par exem­ple sur un sim­ple serveur Web) aux archi­tec­tures décen­tral­isées (sur le principe des réseaux pair-à-pair). Ces dernières sont les plus résilientes et sont choisies pour les bot­nets les plus aboutis et, au bout du compte, les plus dif­fi­ciles à démanteler.

Des actions en réseaux

Autre aspect intéres­sant des bot­nets : les mécan­ismes de val­ori­sa­tion util­isés. Bien enten­du, le maître du bot­net cherche à com­mer­cialis­er les don­nées qu’il en tire, ou à sous-louer ses ser­vices (des attaques pour blo­quer l’accès à un ser­vice par exemple).

Dans d’autres cas, il peut se con­tenter d’administrer le bot­net et con­fi­er le « recrute­ment » de vic­times à des affil­iés – à charge pour eux d’envoyer des spams ou de faire appel aux ser­vices d’un ges­tion­naire de plate-forme d’exploit pour infecter les sys­tèmes de leurs futures victimes.

Dans d’autres cas, le logi­ciel malveil­lant est com­mer­cial­isé sous forme de kit, le développeur n’ayant alors pas à se souci­er de pren­dre le risque de le met­tre en œuvre lui-même : c’est le cas notam­ment de beau­coup de caté­gories de logi­ciels malveil­lants qui ont du suc­cès dans la com­mu­nauté cyber­crim­inelle comme les bot­nets ban­caires ou plus récem­ment les cryp­tolock­ers.

Plates-formes d’exploits

Lorsqu’un inter­naute se con­necte, volon­taire­ment ou à son insu, sur une plate­forme d’exploit, celle-ci teste un cer­tain nom­bre de vul­néra­bil­ités con­nues en vue de les exploiter.

LES BANQUES EN LIGNE DE MIRE

Selon nos observations, recoupées par exemple par la synthèse qu’en réalise Europol, les botnets les plus préoccupants actuellement sont ceux qui ciblent les transactions bancaires avec un développement croissant de ceux qui s’en prennent aux terminaux de points de vente, ainsi que les cryptolockers (ou « rançongiciels chiffrants », qui rendent inaccessibles les fichiers personnels trouvés sur l’ordinateur et réclament le paiement d’une rançon).
De même, des architectures de botnets sont utilisées pour la réalisation d’étapes importantes des opérations d’espionnage industriel qui ciblent de nombreuses administrations ou entreprises aujourd’hui.

Il peut s’agir de vul­néra­bil­ités du sys­tème d’exploitation, du nav­i­ga­teur Web ou encore d’extensions logi­cielles (exten­sions pour visu­alis­er des ani­ma­tions, des vidéos ou des fichiers PDF par exemple).

La plate-forme d’exploit la plus célèbre était pen­dant quelques années le Black Hole exploit kit, dévelop­pé et com­mer­cial­isé par un citoyen russe agis­sant sous le pseu­do­nyme Paunch et qui a été inter­pel­lé en octo­bre 2013 par la police de Moscou.

La plate-forme qui tient actuelle­ment le haut du pavé est cer­taine­ment l’Angler exploit kit. Celui-ci génér­erait des revenus crim­inels atteignant 60 mil­lions de dol­lars par an rien qu’en dif­fu­sant une cam­pagne de rançongiciels.

Les dealers du cybercrime

Les sys­tèmes de dis­tri­b­u­tion de traf­ic (TDS) sont une caté­gorie de ser­vices cyber­crim­inels qui mon­tre la com­plex­i­fi­ca­tion de cet écosystème.

Il s’agit, pour la per­son­ne qui l’administre, d’être en mesure d’offrir à ses clients du traf­ic garan­ti avec un cer­tain nom­bre de car­ac­téris­tiques : pays d’origine, ver­sion du sys­tème d’exploitation ou encore volumétrie.

En amont, lui-même ou des sous-trai­tants attirent des vic­times vers le TDS, puis le sys­tème réalise un tri au prof­it des dif­férents clients. Sutra TDS, Kallis­to TDS ou Sim­ple TDS sont quelques-uns des noms des « pro­duits » com­mer­cial­isés pour met­tre en œuvre un tel système.

Hébergement : la stratégie du coucou

Un virus a bloqué le téléchargement
Une machine infec­tée par un logi­ciel malveil­lant devient un bot© CREATIVE SOUL / FOTOLIA

L’ensemble des cyber­crim­inels utilisent les infra­struc­tures Inter­net exis­tantes pour accom­plir leurs méfaits. Mais ils ont besoin de cer­taines qual­ités com­plé­men­taires pour être encore plus efficaces.

Cer­tains d’entre eux se sont donc spé­cial­isés dans l’administration de serveurs, le détourne­ment de serveurs légitimes ou encore la créa­tion de véri­ta­bles hébergeurs à l’abri des enquêtes judi­ci­aires (autrement appelés bul­let-proof hosters).

Ils réalisent cela en abu­sant leurs employeurs, en louant des ser­vices chez des hébergeurs légitimes (tous les grands hébergeurs français et européens en sont régulière­ment vic­times), ou encore en met­tant en place des sociétés ayant pignon sur rue.

L’une des fonc­tions par­ti­c­ulière­ment atten­dues des cyberdélin­quants est la pos­si­bil­ité de met­tre en place très rapi­de­ment un serveur proche de ses vic­times poten­tielles et d’en chang­er rapi­de­ment en lais­sant le moins de traces possibles.

Plates-formes de marché et outils de communication

Ces activ­ités ne pour­raient se dévelop­per sans la capac­ité pour les cyberdélin­quants de ren­tr­er en con­tact les uns avec les autres.

Ils se ren­con­trent tra­di­tion­nelle­ment sur des espaces de dis­cus­sion dédiés (forums Web, canaux de dis­cus­sion IRC), aus­si cer­tains d’entre eux se sont-ils spé­cial­isés dans l’animation de tels espaces avec des fonc­tion­nal­ités sup­plé­men­taires : procé­dure d’intégration, nota­tion, garantie de l’anonymat, nota­tion des ser­vices offerts par les uns et les autres, ser­vices de véri­fi­ca­tion de numéros de carte ban­caire volés ou encore de logi­ciels malveil­lants pour s’assurer que le pro­duit com­mer­cial­isé n’est pas détec­té par les antivirus.

LA PISTE DE L’ARGENT

Une des catégories d’acteurs qui intéresse les enquêteurs est celle des intermédiaires financiers, c’est-à-dire l’ensemble de ceux qui permettent de blanchir les revenus de ces trafics.
Certains se sont spécialisés dans le recrutement et la gestion de mules qui font transiter sur leurs comptes bancaires l’argent détourné ou réexpédient les colis. Ces activités se complexifient avec l’avènement des services de monnaie électronique.
Même s’ils semblent évidents à cibler dans l’enquête judiciaire (avec l’idée de remonter la piste de l’argent), leur action constitue souvent un véritable paravent qui rend très complexe et coûteuse en temps l’identification des véritables commanditaires.

Ces plates-formes de dis­cus­sion sont hébergées aus­si bien sur des serveurs libre­ment acces­si­bles sur Inter­net (avec un sim­ple nav­i­ga­teur Web) ou unique­ment via une con­nex­ion sécurisée par le pro­to­cole d’anonymisation Tor.

Les délin­quants y appren­nent les méth­odes, dis­cu­tent les offres ou encore affichent leurs publicités.

Assez rapi­de­ment, la dis­cus­sion se porte ensuite sur d’autres moyens de com­mu­ni­ca­tion plus con­fi­den­tiels, comme des cour­ri­ers élec­tron­iques jeta­bles et chiffrés ou l’utilisation de mes­sageries instantanées.

Ain­si, le logi­ciel de dis­cus­sion inter­per­son­nelle ICQ était très util­isé dans la pre­mière moitié des années 2000 ; il a été pro­gres­sive­ment rem­placé par le pro­to­cole Jabber/XMPP, indépen­dant d’un quel­conque four­nisseur de ser­vices et per­me­t­tant d’y rajouter facile­ment une couche de chiffrement.

Un écosystème en mutation

L’évolution de la délin­quance numérique au cours des vingt dernières années a d’abord mar­qué un retrait des formes clas­siques de crim­i­nal­ité organ­isée (struc­turées, sta­bles, dont la taille est moyenne à grande) pour des formes d’organisation plus diffuse.

Cartes bancaires volées
Cer­tains délin­quants offrent des services
de véri­fi­ca­tion de numéros de carte ban­caire volés. © SUMIRE8 / FOTOLIA

On voit appa­raître une véri­ta­ble balka­ni­sa­tion des acteurs, cha­cun s’étant spé­cial­isé dans un rôle don­né, cher­chant un max­i­mum de flex­i­bil­ité pour les uns ou un min­i­mum de risques pour les autres.

Cette frag­men­ta­tion con­tribue à ren­dre encore plus com­plex­es les enquêtes judi­ci­aires. Ain­si, si l’on arrive plusieurs semaines après le début d’une cam­pagne de dif­fu­sion d’un logi­ciel malveil­lant, il est pos­si­ble que le maître du bot­net fasse appel à un TDS dif­férent, un autre admin­is­tra­teur de plate-forme d’exploit ou un four­nisseur de spam moins coû­teux ou plus efficace.

Et évidem­ment les traces des opéra­tions cor­re­spon­dant aux vic­times qui ont d’abord con­tac­té les ser­vices d’enquête ont alors totale­ment disparu.

Pour cette rai­son, il est indis­pens­able que la jus­tice, les enquê­teurs et les groupes de spé­cial­istes ou entre­pris­es spé­cial­isées tra­vail­lant sur ce type de men­aces pren­nent rapi­de­ment le recul néces­saire : com­pren­dre com­ment les men­aces sont dis­tribuées, com­ment elles sont organ­isées et quelle est leur dynamique, sans jamais s’arrêter à une pho­togra­phie dans le temps, pour être en mesure d’identifier les cibles de leur action.

Cela veut aus­si dire qu’il ne faut pas for­cé­ment s’intéresser à un logi­ciel malveil­lant en par­ti­c­uli­er, mais à l’ensemble de l’écosystème qui tourne autour.

Il sera par­fois plus effi­cace de chercher à s’en pren­dre à une infra­struc­ture de dis­tri­b­u­tion de traf­ic ou une plate-forme d’exploit qu’à un petit bot­net opéré par un délin­quant ayant acquis un sim­ple kit.

Une lutte impliquant de nombreux acteurs

Les pistes pour lut­ter con­tre ces nou­velles men­aces sont com­plex­es, mais la dif­fi­culté de la tâche rend cette com­plex­ité néces­saire. En effet, les suc­cès sont encore trop peu nom­breux et le développe­ment de la cyberdélin­quance est en accélération.

DES GROUPES CRIMINELS TRÈS ORGANISÉS

En parallèle d’un écosystème cybercriminel diffus, certains indices récents font apparaître l’émergence de nouvelles formes de groupes criminels très organisés. D’abord, on note un investissement croissant des groupes criminels organisés classiques dans certaines de ces délinquances numériques, comme lors des attaques massives contre le marché du carbone.
Ainsi, de nombreux observateurs notent l’apparition de groupes très structurés, comme le groupe Carbanak qui serait derrière un détournement massif dans des banques notamment situées en Russie.

Il est d’abord impor­tant de bien com­pren­dre les men­aces, de partager cette com­préhen­sion et de pren­dre sys­té­ma­tique­ment le recul néces­saire pour bien com­pren­dre l’ensemble des acteurs aux­quels on peut être confronté.

Il faut être en mesure d’inventer les tech­niques per­me­t­tant de détecter ces men­aces, mais aus­si d’imaginer celles qui per­me­t­tront de lut­ter active­ment con­tre elles, par exem­ple iden­ti­fi­er les faib­less­es dans les infra­struc­tures de com­mande et de con­trôle qui pour­ront être exploitées. Il est indis­pens­able que les actions menées con­tre ces acteurs soient coor­don­nées entre les dif­férentes par­ties prenantes.

Aucune action tech­nique ne sera effi­cace si elle n’est asso­ciée à l’identification et à l’arrestation des auteurs des méfaits, qui sans cela auront tout loisir de relancer leurs activités.

Ces actions peu­vent évidem­ment avoir pour objec­tif de ren­dre plus coû­teux le déploiement des men­aces, par exem­ple en déman­te­lant sys­té­ma­tique­ment les infra­struc­tures util­isées chez les hébergeurs légitimes ou encore en infor­mant les vic­times poten­tielles et en les dotant d’outils per­me­t­tant de détecter et net­toy­er ces men­aces dès qu’elles apparaissent.

POUR ALLER PLUS LOIN

Éric Freyssinet, « Lutte contre les botnets : analyse et stratégie », mémoire de thèse de doctorat

Tous ont donc un rôle à jouer dans cette lutte, en par­ti­c­uli­er les acteurs de la réponse à inci­dents, voire de la répa­ra­tion infor­ma­tique, qui col­lectent poten­tielle­ment tous des infor­ma­tions essen­tielles sur la réal­ité de cette men­ace au con­tact des victimes.

C’est aus­si un champ d’action pour les hébergeurs, les four­nisseurs d’accès à Inter­net et très cer­taine­ment la com­mu­nauté académique. Il faut souhaiter que se mul­ti­plient les ini­tia­tives leur per­me­t­tant d’échanger et de se coordonner.

Accès aux fichiers bloqués par le « rançongiciel » CryptoLocker
Le « rançongi­ciel » Cryp­toLock­er est passé par là

Poster un commentaire